Перейти к содержимому


Фото
- - - - -

«Доктор Веб»: наши пользователи не пострадали от шифровальщика WannaCry


  • Please log in to reply
54 ответов в этой теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 113 Сообщений:

Отправлено 15 Май 2017 - 18:37

15 мая 2017 года

В пятницу 12 мая компьютеры по всему миру начал атаковать шифровальщик Trojan.Encoder.11432, известный также как WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY и WNCRY. Пострадали правительственные и коммерческие организации, а также частные лица. Пользователи программных продуктов Dr.Web были и остаются в безопасности.

Самая первая известная Dr.Web модификация троянца (Wanna Decryptor 1.0) поступила на анализ в вирусную лабораторию «Доктор Веб» 27 марта 2017 года в 07:20 и в тот же день в 11:51 была добавлена в вирусные базы.

Шифровальщик Trojan.Encoder.11432, известный как WannaCry, начал активно распространяться в пятницу вечером, а к выходным поразил компьютеры крупнейших организаций по всему миру.

«Доктор Веб» получил его образец 12 мая в 10:45 утра и добавил в вирусные базы Dr.Web.

До добавления записи в базу троянец определялся Dr.Web как BACKDOOR.Trojan.

Сам троянец представляет собой многокомпонентный шифровальщик, получивший наименование Trojan.Encoder.11432. Он включает в себя четыре компонента: сетевого червя, дроппер шифровальщика, шифровальщик и авторский расшифровщик.

Trojan.Encoder.11432 шифрует файлы на зараженном компьютере и требует выкуп за расшифровку. Деньги необходимо перевести на указанные электронные кошельки в криптовалюте Bitcoin.

Причиной массового распространения троянца стала уязвимость протокола SMB. Этой уязвимости подвержены все операционные системы Windows младше 10 версии. Для наших пользователей Trojan.Encoder.11432 не представлял угрозы с самого начала своего распространения.

Чтобы исключить попадание этого троянца на ваши компьютеры, мы рекомендуем следующее:

  • установить обновление для вашей операционной системы MS17-010, доступное по адресу technet.microsoft.com/en-us/library/security/ms17-010.aspx , а также все текущие обновления безопасности;
  • обновить антивирус;
  • закрыть с помощью брандмауэра атакуемые сетевые порты (139, 445);
  • отключить атакуемый и уязвимый сервис операционной системы;
  • запретить установку и запуск нового ПО (исполняемых файлов);
  • убрать лишние права пользователей (права на запуск и установку нового ПО);
  • удалить ненужные сервисы в системе;
  • запретить доступ к сети Tor.


Читать оригинал

#2 SergSG

SergSG

    The Master

  • Posters
  • 12 135 Сообщений:

Отправлено 15 Май 2017 - 18:54

  • закрыть с помощью брандмауэра атакуемые сетевые порты (139, 445);
  • отключить атакуемый и уязвимый сервис операционной системы;
  • запретить установку и запуск нового ПО (исполняемых файлов);
  • убрать лишние права пользователей (права на запуск и установку нового ПО);
  • удалить ненужные сервисы в системе;
  • запретить доступ к сети Tor.

Ну, любая домохозяйка может это все легко сделать.



#3 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 879 Сообщений:

Отправлено 15 Май 2017 - 18:55

 

  • закрыть с помощью брандмауэра атакуемые сетевые порты (139, 445);
  • отключить атакуемый и уязвимый сервис операционной системы;
  • запретить установку и запуск нового ПО (исполняемых файлов);
  • убрать лишние права пользователей (права на запуск и установку нового ПО);
  • удалить ненужные сервисы в системе;
  • запретить доступ к сети Tor.

Ну, любая домохозяйка может это все легко сделать.

 

Ну, нет, конечно. Однако, любая домохозяйка может оказаться в числе пользователей Dr.Web и не пострадать от wanacry.  


Сообщение было изменено sergeyko: 15 Май 2017 - 18:55

Sergey Komarov
R&D www.drweb.com

#4 SergSG

SergSG

    The Master

  • Posters
  • 12 135 Сообщений:

Отправлено 15 Май 2017 - 19:04

Ну, нет, конечно. Однако, любая домохозяйка может оказаться в числе пользователей Dr.Web и не пострадать от wanacry.  

Не факт. С этой модификацией, типа, успели. А со следующей?

Эти рекомендации, судя по тексту, относятся, я так понимаю, ко всем.



#5 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 879 Сообщений:

Отправлено 15 Май 2017 - 19:12

Не факт. С этой модификацией, типа, успели. А со следующей?

А что тогда факт? С этой успели и это есть факт. Вот прямо факт фактический. 

 

Эти рекомендации, судя по тексту, относятся, я так понимаю, ко всем.

Рекомендации такие рекомендации. Еще нужно чистить зубы и мыть овощи и фрукты. ;)


Sergey Komarov
R&D www.drweb.com

#6 SergSG

SergSG

    The Master

  • Posters
  • 12 135 Сообщений:

Отправлено 15 Май 2017 - 19:20

 

Не факт. С этой модификацией, типа, успели. А со следующей?

А что тогда факт? С этой успели и это есть факт. Вот прямо факт фактический. 

Хвастаетесь? Ну да, тут молодцы, оперативно сработали, ничего не скажешь. И так будет всегда? Вот News Robot, видимо, не уверен, раз "рекомендует".



#7 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 879 Сообщений:

Отправлено 15 Май 2017 - 19:31

Хвастаетесь? Ну да, тут молодцы, оперативно сработали, ничего не скажешь.

Ну немножко хвастаемся, да :). Пока одни пиарятся на том, что считают, сколько клиентов заразилось и в каких странах, мы хвастаемся, что нашим клиентам считать нечего. 

 

И так будет всегда? Вот News Robot, видимо, не уверен, раз "рекомендует".

Ну так эти рекомендации закроют только эту дыру. Останутся другие дыры, так что, как будет всегда никто не скажет, кроме того, что будет "как всегда". 

Поэтому я и говорю - овощи и фрукты надо мыть перед едой, а зубы чистить после. 


Sergey Komarov
R&D www.drweb.com

#8 Black Angel

Black Angel

    Virus Hunter

  • Virus hunters
  • 993 Сообщений:

Отправлено 15 Май 2017 - 19:46

Новость хорошая, оперативно сработали.


cfnfa43pvw.jpg

Dr.Web Security Space 11.0
Windows 10 x64 + автообновления


#9 GEV

GEV

    Massive Poster

  • Posters
  • 2 111 Сообщений:

Отправлено 15 Май 2017 - 20:18

Ну раз не пострадали..., то собстно дешифратора к сабжу в планах нет?



#10 SergSG

SergSG

    The Master

  • Posters
  • 12 135 Сообщений:

Отправлено 15 Май 2017 - 20:40

Ну раз не пострадали..., то собстно дешифратора к сабжу в планах нет?

 

Фраза неоднозначная, конечно, но

 

Trojan.Encoder.11432. Он включает в себя четыре компонента: сетевого червя, дроппер шифровальщика, шифровальщик и авторский расшифровщик.



#11 Alex1774

Alex1774

    Member

  • Posters
  • 179 Сообщений:

Отправлено 15 Май 2017 - 22:18

До добавления записи в базу троянец определялся Dr.Web как BACKDOOR.Trojan.

Вот за это - молодцы!

#12 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 687 Сообщений:

Отправлено 15 Май 2017 - 22:56

До добавления записи в базу троянец определялся Dr.Web как BACKDOOR.Trojan.

Вот за это - молодцы!

BACKDOOR.Trojan - это довольно странно. Это значит что не прогнали по базам Dr.Web-а просто, иначе сигнатурный детект дал бы понять что надо закриптовать свое поделие.

Неизвестно, на все ли семплы сработала эвристика баз.

 

Но на войне все средства хороши, так что если палка кого-то спасла, то хорошо в любом случае :)


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#13 Petrovic

Petrovic

    Member

  • Posters
  • 101 Сообщений:

Отправлено 15 Май 2017 - 23:40

уже новые варианты пошли)

https://www.virustotal.com/en/file/e4aa8cfc4cd8b791eaa38dbe6fd7e11bcaaafab680bd2ed7c87e38063623e941/analysis/ 

тикет #7645276


Сообщение было изменено Petrovic: 15 Май 2017 - 23:40


#14 Petrovic

Petrovic

    Member

  • Posters
  • 101 Сообщений:

Отправлено 16 Май 2017 - 00:30

ну и к выше написанному, почему не устаю повторять про то что сигнатуры,эвристика -каменный век

пора бы и что нибудь новенькое прикрутить.....

Spoiler



#15 riaman

riaman

    Member

  • Posters
  • 195 Сообщений:

Отправлено 16 Май 2017 - 07:59

По-видимому, доктор веб не так популярен у этих вирусописателей, раз они не поверили детект на нём. В этом плюс менее популярного продукта ;-) Или так сложно исключить детект доктора, что "игра не стоит свеч"?) или распространители вируса не являются его разработчикам и применяли то, что купили...?

#16 VVS

VVS

    The Master

  • Moderators
  • 17 398 Сообщений:

Отправлено 16 Май 2017 - 08:09

ну и к выше написанному, почему не устаю повторять про то что сигнатуры,эвристика -каменный век

пора бы и что нибудь новенькое прикрутить.....

Эвристика - детект по поведению.

Что является новее?

Детект по положению звёзд? :D


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#17 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 16 Май 2017 - 08:40

Petrovic, Это у вас ? А анти-руткит включен ? Настройки из коробки или нет ? Детект тот же самый, в чем новость его ?


Сообщение было изменено l.e.e.: 16 Май 2017 - 08:40

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#18 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 16 Май 2017 - 08:45

https://www.virustotal.com/en/file/e4aa8cfc4cd8b791eaa38dbe6fd7e11bcaaafab680bd2ed7c87e38063623e941/analysis/1494888579/

Тут его еще нет.


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#19 phantom83

phantom83

    Advanced Member

  • Posters
  • 577 Сообщений:

Отправлено 16 Май 2017 - 08:56

есть, у вас старая ссылка, нажмите View latest

Trojan.Encoder.11432



#20 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 16 Май 2017 - 09:34

есть, у вас старая ссылка, нажмите View latest

Ну так она что то и доказывает.. А когда уже есть, как можно говорить, что это новая версия, если детект тот же ?


Сиюминутное Ригпа бессущностно и ясно.

drweb.png



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых